安全态势周刊

News information

六方云 安全态势周刊丨第252期

<<返回

2023年06月13日 08:00

01.

业界动态


1、中国证券业协会印发《证券公司网络和信息安全三年提升计划 (2023-2025)》

中国证券业协会印发《证券公司网络和信息安全三年提升计划(2023-2025)》(以下简称《安全提升计划》),阐明未来三年全面提升证券公司网络和信息安全的指导思想、基本原则、总体目标、主要任务及实施路径。《安全提升计划》围绕国家关于网络和信息安全的具体要求,聚焦提升行业科技治理和信息系统架构掌控能力,聚焦防范网络和信息安全风险,明确六类31项主要任务要求,形成32项具体任务清单。

https://www.secrss.com/articles/55528


2、水利部印发关于推进数字孪生农村供水工程建设的通知

数字孪生农村供水工程建设是智慧水利建设的重要内容,是推动农村供水高质量发展的必然要求。水利部等4部门《关于加快推进农村规模化供水工程建设的通知》要求,加快推进数字孪生供水系统建设,打造与物理工程相连的智慧化应用平台。《智慧水利建设顶层设计》要求,打造农村供水智慧管理样板,实现农村供水工程数字化管理。《全国“十四五”农村供水保障规划》提出,推动智慧供水系统建设,增强“四预”(预报、预警、预演、预案)能力。

https://www.secrss.com/articles/55525


3、之江实验室发布《生成式大模型安全与隐私白皮书》

之江实验室基础理论研究院人工智能与安全团队首次全面总结了 ChatGPT 为代表的生成式大模型的安全与隐私问题白皮书,希望能够为从事安全问题研究的技术人员指明方向,同时也为 AI 相关政策的制定者提供依据。

https://github.com/xiaogang00/white-paper-for-large-model-security-and-privacy


02.

关键基础设施

1、美国发射首颗靶场卫星,将举办首场真实环境太空黑客大赛

今年的DEF CON安全大会将组织Hack-A-Sat(黑掉卫星)比赛,研究人员首次有机会测试在轨卫星的安全性。当地时间5月5日11点47分,美国佛罗里达州肯尼迪航天中心,SpaceX和NASA首次发射了一颗供黑客攻击的卫星,并将其送入近地轨道。SpaceX在为国际空间站执行补给任务的火箭上捆绑了几颗名为“立方卫星”的小方形卫星。其中一颗立方卫星名叫Moonligher,将用作实验性的“黑客沙盒”。

https://cyberscoop.com/moonlighter-hack-a-sat-defcon/


03.

安全事件


1、全球最大的拉链制造商YKK的遭到LockBit的勒索攻击

日本拉链公司YKK透露,其位于美国的系统在最近几周遭到攻击。它是世界上最大的拉链制造商,年收入超过60亿美元。该公司称,他们及时遏制了攻击,该事件并未对运营和服务产生实质性影响,也没有证据表明个人和财务信息以及知识产权受到影响。LockBit于6月2日在其网站上列出了YKK,并威胁要在6月16日之前泄露从该公司窃取的数据。

https://therecord.media/ykk-zipper-manufacturer-cyberattack-us-operations


2、日本制药公司卫材(Eisai)透露其部分服务器已被加密

东京的制药公司卫材(Eisai)披露其遭到了勒索攻击,部分服务器已被加密。攻击发生在6月3日深夜,这是攻击者部署加密器的常见时间,因为IT团队在周末人手不足,无法有效应对异常情况。该公司表示,其在国内外的几个系统,包括物流系统,已被迫下线并停止服务,直到调查结束。但是,公司网站和邮件通信仍然可用。目前还没有勒索团伙声称对此次攻击负责。

https://therecord.media/eisai-japan-pharmaceutical-giant-ransomware


3、PowerDrop恶意软件脚本被用于攻击美国航空航天业

Adlumin于2023年5月发现一种名为"PowerDrop"的新型PowerShell恶意软件脚本被用于针对美国航空航天国防工业的攻击活动。其中,PowerDrop是由Windows Management Instrumentation(WMI)服务执行的PowerShell脚本,并使用Base64进行编码以用作后门或RAT。一旦PowerDrop脚本处于活动状态,它就会向其C2服务器地址发送一个硬编码的ICMP回显,表明新的感染处于活动状态。同时,PowerShell和WMI,再加上PowerDrop从不将磁盘作为“.ps1”脚本文件接触这一特点,使其特别隐蔽。

https://adlumin.com/post/powerdrop-a-new-insidious-powershell-script-for-command-and-control-attacks-targets-u-s-aerospace-defense-industry/


4、本田电商平台API漏洞暴露客户数据

安全研究人员Eaton Zveare发现本田动力设备的电商平台存在API漏洞,攻击者可为任何帐户重置密码,导致本田动力(包括电力、船舶、草坪和花园设备)电子商务平台容易受到任何人未经授权的访问。

https://www.bleepingcomputer.com/news/security/honda-api-flaws-exposed-customer-data-dealer-panels-internal-docs/


04.

漏洞事件


1、Cisco修复AnyConnect中的提权漏洞CVE-2023-20178
Cisco修复了Cisco Secure Client(以前称AnyConnect Secure Mobility Client)中的提权漏洞(CVE-2023-20178)。低权限的本地攻击者可以在不与用户交互的低复杂性攻击中利用此漏洞,将权限提升至SYSTEM。该漏洞源于对升级过程中创建的一个临时目录分配了不适当的权限,攻击者可以通过利用Windows安装程序进程的特定功能来利用此漏洞。目前漏洞尚未被在野利用。

https://www.bleepingcomputer.com/news/security/cisco-fixes-anyconnect-bug-giving-windows-system-privileges/


2、Windows Win32k权限提升漏洞 (CVE-2023-29336)
Win32k.sys是Windows操作系统的一个核心系统文件,它是Win32 API的一部分,负责处理图形用户界面(GUI)相关的任务。Win32k.sys主要提供了一组图形设备接口(GDI)和用户界面(UI)相关的API,包括窗口管理、消息传递、绘图和字体处理等功能。

https://www.numencyber.com/cve-2023-29336-win32k-analysis/


05.

政策监管



1、上海通管局:各电信和互联网企业试点建立首席数据官制度
2023年6月6日,上海市通信管理局印发的《上海市电信和互联网行业首席数据官制度建设指南(试行)》对外公式。

为深入贯彻落实《数据安全法》《中共中央 国务院关于构建更加完善的要素市场化配置体制机制的意见》《数字中国建设整体布局规划》《工业和信息化领域数据安全管理办法(试行)》《上海市数据条例》等文件精神,着力营造开放、健康、安全的数字生态,坚持数据发展与安全并重,深化上海市电信和互联网行业数据治理,健全电信和互联网企业数据安全管理组织,明晰上海市电信和互联网行业首席数据官管理职责和边界,故制定本建设指南。

https://www.ciiabd.org.cn/articles/Mg2nBg.html


2、国家互联网信息办公室关于《近距离自组网信息服务管理规定(征求意见稿)》公开征求意见的通知
为了规范近距离自组网信息服务,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益,根据《中华人民共和国网络安全法》、《互联网信息服务管理办法》、《网络信息内容生态治理规定》等法律法规,国家互联网信息办公室起草了《近距离自组网信息服务管理规定(征求意见稿)》,现向社会公开征求意见,截止日期为2023年7月6日。

http://www.cac.gov.cn/2023-06/06/c_1687698272954687.htm


3、国家密码管理局关于《商用密码检测机构管理办法(征求意见稿)》和《商用密码应用安全性评估管理办法(征求意见稿)》公开征求意见的通知
为加强商用密码检测机构管理,规范商用密码检测活动和商用密码应用安全性评估工作,根据《中华人民共和国密码法》和新修订的《商用密码管理条例》等有关法律法规,国家密码管理局研究起草了《商用密码检测机构管理办法(征求意见稿)》和《商用密码应用安全性评估管理办法(征求意见稿)》,现向社会公开征求意见,截止日期2023年7月9日。

http://www.moj.gov.cn/pub/sfbgw/lfyjzj/lflfyjzj/202306/t20230609_480402.html


06.

安全标准


1、工业互联网平台领域3项重点国家标准正式获批发布
近日,国家市场监督管理总局(国家标准化管理委员会)发布2023年第2号中华人民共和国国家标准公告,批准GB/T 42562-2023《工业互联网平台选型要求》、GB/T 42568-2023《工业互联网平台 微服务参考框架》和GB/T 42569-2023《工业互联网平台 开放应用编程接口功能要求》3项工业互联网平台领域国家标准正式发布。

GB/T 42562-2023《工业互联网平台选型要求》规定了工业互联网平台的选型原则和选型流程,明确了关键技术能力、业务支持能力、部署实施能力和安全防护能力的评估要点。为工业互联网平台需求方“选平台”提供了参考依据,帮助企业评价工业互联网平台赋能水平,选择适宜自身的工业互联网平台。也适用于工业互联网平台服务商提升服务能力。

https://std.samr.gov.cn/gb/search/gbDetailed?id=FC816D04FFC662EBE05397BE0A0AD5FA


GB/T 42568-2023《工业互联网平台 微服务参考框架》确立了工业互联网平台中微服务的参考框架,包括部署视图、用户视图、功能视图、访问逻辑视图,规定了各视图的相关陈述条款。适用于指导工业微服务的设计、实现、部署、使用,可助力工业微服务资源池的构建,加速工业技术、工艺、经验等知识的模型化沉淀,提升相关方“建平台”的能力。

https://std.samr.gov.cn/gb/search/gbDetailed?id=FC816D04FFCC62EBE05397BE0A0AD5FA


GB/T 42569-2023《工业互联网平台 开放应用编程接口功能要求》确立了工业互联网平台开放应用编程接口框架,规定了接口的功能要求。适用于开发方、使用方及第三方组织对工业互联网平台和接口开展设计、开发及测试评估工作,加速工业互联网平台的互联互通,为构建工业互联网平台生态奠定基础。

https://std.samr.gov.cn/gb/search/gbDetailed?id=FC816D04FFCE62EBE05397BE0A0AD5FA